La truffa du code à six chiffres sur WhatsApp frappe encore car elle exploite la confiance que nous plaçons dans nos contacts pour nous inciter à livrer les clés de notre compte.
Elle revient cycliquement, prend de nouvelles formes et continue de faire des victimes : nous parlons de l’une des arnaques les plus répandues ces dernières années, l’arnaque du code à six chiffres sur WhatsApp. Elle frappe parce qu’elle exploite deux éléments très puissants : la confiance que nous plaçons dans nos contacts et les mécanismes de sécurité mêmes de l’application qui, avec plus de trois milliards d’utilisateurs dans le monde, demeure une cible privilégiée pour les cybercriminels, dont l’objectif est d’amener les gens, par la tromperie, à livrer spontanément les clés de leur compte.
Le mécanisme. L’arnaque suit un schéma simple et éprouvé. Elle commence par la réception d’un message d’un contact enregistré dans votre carnet, ce contact qui, toutefois, a déjà été piraté par le malfaiteur, lequel dispose de l’historique des conversations avec la victime pour mener son mensonge au mieux. Pour cela, le texte adopte souvent un ton rassurant et personnalisé, par exemple : « Salut [Prénom], tu devrais avoir reçu un code par erreur de WhatsApp, peux-tu me le renvoyer ?« .
Puis, peu après, ou en même temps, sur le téléphone est reçu un SMS contenant un code numérique à six chiffres. Ce code vient directement de WhatsApp, il s’agit du code de vérification nécessaire pour activer le compte sur un nouvel appareil, et c’est l’application elle-même qui le génère, mais c’est le fraudeur qui a déclenché son envoi, qui a lancé la procédure d’accès en saisissant le numéro de la victime sur un autre smartphone. En d’autres termes, le criminel ne voit pas ce code et ne peut pas l’intercepter: il peut seulement convaincre la victime de le lui transmettre. Si cela se produit, le système de sécurité de l’application est contourné de l’intérieur et le compte passe immédiatement sous le contrôle de l’intrus, excluant le propriétaire légitime.
Le maillon faible. À ce stade, naît spontanément une question : comment l’arnaqueur a-t-il pu s’emparer du compte de l’ami qui écrit en premier ? Dans la plupart des cas, exactement par le même mécanisme. L’arnaque se propage en chaîne: une première victime livre le code à six chiffres, perd l’accès à son profil et devient, malgré elle, le cheval de Troie parfait pour toucher d’autres contacts. À l’origine, toutefois, l’explication est encore plus banale : un smartphone volé ou perdu, dépourvu d’un blocage d’écran efficace, ou protégé par un PIN faible ou facilement devinable.
Le préjudice. Lorsqu’une arnaque aboutit, le préjudice est immédiat : le propriétaire légitime est écarté du compte, tandis que l’intrus obtient un accès complet aux chats, photos, messages vocaux et à l’annuaire.
À partir de là, il peut continuer à diffuser la même demande de « code envoyé par erreur », ou aller plus loin, relayant des liens malveillants, des demandes d’argent ou des messages construits sur mesure en utilisant des informations personnelles réelles. Dans les cas les plus graves, le compte peut être saisi pendant longtemps, avec la modification des données de récupération, rendant ainsi nécessaire l’intervention du service d’assistance ou une dénonciation aux autorités.
Comment se protéger. La protection la plus efficace est aussi la plus simple : ne jamais partager les codes de contrôle, même avec des personnes que l’on connaît. Un code à 6 chiffres n’a de sens que pour celui qui le demande en personne et à l’instant précis où il est demandé. Il est essentiel d’activer la vérification en deux étapes de WhatsApp, qui ajoute un PIN personnel requis lors de l’enregistrement du numéro, et d’activer les notifications de sécurité, qui avertissent lorsque les clés cryptographiques d’un compte changent.
En cas de vol, il faut tenter immédiatement le rétablissement sur un nouveau dispositif en saisissant son numéro et, si cela ne suffit pas, procéder à la désactivation et au signalement, en avertissant les contacts pour couper la chaîne. L’arnaque ne fonctionne que tant qu’il existe quelqu’un qui baisse la garde, alors que, pour l’interrompre, il suffirait tout simplement de ne rien faire.
